Kraken a déjoué une tentative d’infiltration orchestrée par un hacker nord-coréen se faisant passer pour un ingénieur. Une leçon de cybersécurité révélée par l’un des leaders américains de la crypto-monnaie.
Dans un monde où les cyberattaques sont devenues monnaie courante, certaines d’entre elles prennent des formes de plus en plus inattendues. Dernière illustration en date : la tentative d’un pirate nord-coréen de s’introduire chez Kraken, un géant américain de la crypto-monnaie, en se faisant passer pour un ingénieur informatique lors d’un processus de recrutement. Loin de se faire piéger, l’entreprise a profité de l’occasion pour retourner la situation à son avantage. Ce cas, emblématique d’une stratégie de plus en plus utilisée par des groupes étatiques, révèle une sophistication inquiétante dans l’art de l’espionnage numérique. Il souligne aussi la nécessité pour les entreprises de développer des stratégies de cybersécurité toujours plus intelligentes et proactives.
L’art de l’infiltration numérique
Le scénario aurait pu passer pour une série Netflix. Il commence par une candidature en apparence banale pour un poste d’ingénieur logiciel. Mais très vite, les signaux d’alerte s’accumulent. Le nom utilisé par le candidat diffère de celui affiché sur le CV, et sa voix change à plusieurs reprises lors de l’entretien, comme si plusieurs personnes participaient en coulisses. Pour les recruteurs de Kraken, cela ne fait bientôt plus aucun doute : quelque chose cloche sérieusement.
En creusant davantage, ils découvrent que l’adresse e-mail utilisée figure sur une base de données recensant des contacts liés à des cyberattaques nord-coréennes. Le profil GitHub du candidat, pourtant bien fourni, trahit une adresse déjà compromise dans une fuite de données antérieure. Des incohérences s’ajoutent : le candidat se connecte via un VPN, accède à l’entretien depuis un Mac distant, et ses justificatifs d’identité semblent manifestement falsifiés.
L’opération devient alors pour Kraken bien plus qu’une simple procédure d’embauche. Conscients de la portée de cette tentative, les responsables de la plateforme crypto décident de transformer ce faux recrutement en véritable mission de contre-espionnage.
Une chasse au hacker méthodique
Ce que Kraken met en œuvre ensuite est digne d’un manuel d’enquête numérique. L’entreprise décide de continuer à faire progresser le faux candidat dans le processus de recrutement, tout en documentant chaque interaction. L’objectif : comprendre les tactiques utilisées par ces pirates d’un genre nouveau, qui ne cherchent plus seulement à voler des données ou des crypto-actifs, mais à infiltrer de l’intérieur les structures mêmes de leurs cibles.
L’analyse révèle alors un réseau plus vaste, composé de multiples identités, probablement gérées par un seul individu. Selon Kraken, la même personne utilisait jusqu’à quatre identités différentes pour postuler dans le secteur technologique, une stratégie visant à maximiser ses chances d’infiltration. Derrière cette façade, les traces pointent vers une opération organisée, méthodique, et clairement commanditée par un État.
« Nous avons compris que nous n’avions pas affaire à un candidat isolé, mais à une entité structurée avec des méthodes bien rodées« , confie Nick Percoco, directeur de la sécurité de Kraken.
Une cyberattaque à visage humain
Le point culminant de cette opération d’infiltration déguisée en recrutement est atteint lors d’un « entretien d’alchimie » avec Percoco et d’autres responsables de l’équipe de sécurité. L’objectif ? Piéger le candidat en le confrontant à des questions que seul un résident légitime de la ville qu’il prétend habiter pourrait maîtriser.
L’échange vire rapidement à l’absurde : le faux ingénieur se montre incapable de présenter une pièce d’identité valable, hésite lorsqu’on lui demande de nommer un restaurant local, et évite les questions précises sur sa localisation. Pour Kraken, cela ne fait plus de doute : l’imposteur est démasqué.
Mais au-delà de ce cas isolé, c’est un mode opératoire entier qui est mis en lumière. Car ce n’est pas la première fois que les États-Unis — et d’autres pays — signalent des tentatives d’infiltration de la part de la Corée du Nord dans des entreprises du secteur numérique et de la blockchain.
Selon Chainalysis, les hackers nord-coréens ont volé pour plus de 1,5 milliard d’euros en crypto-monnaie depuis 2017.
La crypto, terrain de jeu stratégique pour Pyongyang
Pour comprendre pourquoi des pirates nord-coréens s’attaquent aux entreprises de la blockchain, il faut revenir à la situation géopolitique du pays. Sous embargo international, asphyxié économiquement, le régime de Pyongyang voit dans la cybercriminalité une source de financement à la fois lucrative et difficile à tracer. Les crypto-monnaies, par leur nature décentralisée et pseudonyme, sont idéales pour contourner les sanctions.
Le groupe Lazarus, célèbre collectif de hackers affilié à la Corée du Nord, a déjà été identifié dans plusieurs attaques d’envergure visant des portefeuilles numériques, des plateformes d’échange ou des projets DeFi. En 2022, le piratage du jeu Axie Infinity aurait rapporté près de 620 millions de dollars (environ 580 millions d’euros) à ce groupe.
Ces opérations, parfois menées sous couvert de recrutements frauduleux ou d’ingénierie sociale, montrent à quel point les frontières entre guerre numérique, espionnage et cybercriminalité sont devenues floues.
Face à cette nouvelle forme de menace, les entreprises technologiques sont contraintes de revoir leurs protocoles de recrutement. Ce qui relevait autrefois du simple échange de CVs et d’entretiens vidéo devient désormais une zone à haut risque, où la vigilance doit être constante.
Kraken recommande, par exemple, de varier les méthodes de vérification, d’éviter les questions de contrôle classiques et répétées, et d’introduire des tests en temps réel. Car si les vrais candidats s’adaptent facilement, les imposteurs — surtout ceux opérant à distance sous de fausses identités — sont souvent déstabilisés par l’imprévu.
Un avant-goût de la cyberguerre du futur ?
L’histoire de Kraken est loin d’être un cas isolé. Elle illustre une tendance lourde, où les menaces ne viennent plus seulement des failles logicielles mais aussi des failles humaines. Dans un univers où les intelligences artificielles, les deepfakes et les identités numériques deviennent monnaie courante, il devient urgent pour les entreprises d’intégrer la cybersécurité à tous les niveaux, y compris dans les services les plus inattendus comme les ressources humaines.
Elle pose aussi une question plus large sur l’avenir des relations internationales. Si des États comme la Corée du Nord utilisent des moyens détournés pour contourner les sanctions, détourner des fonds et espionner des infrastructures critiques à l’échelle mondiale, comment garantir la souveraineté numérique des nations et la sécurité des entreprises dans un monde de plus en plus interconnecté ?
Au cœur de cette stratégie, on trouve la GenAI, l’intelligence artificielle générative, dont les avancées fulgurantes ont ouvert des possibilités presque illimitées en matière de création de contenus crédibles. Ce sont précisément ces outils, conçus à l’origine pour accélérer les processus créatifs, qui sont aujourd’hui détournés pour fabriquer des identités numériques fictives, rédiger des CV adaptés à chaque offre d’emploi, passer des entretiens en vidéo, et même interagir avec des collègues, le tout sans jamais révéler la véritable nature des « employés ». Derrière les écrans, c’est en réalité une armée coordonnée d’agents nord-coréens qui œuvre à distance, avec un objectif clair : contourner les sanctions économiques imposées par la communauté internationale et alimenter les finances de Pyongyang.
« Ferme de laptops » : le nouveau visage de l’espionnage numérique
Le terme peut sembler anodin, presque trivial. Pourtant, les « fermes de laptops » désignent des structures logistiques discrètes mais essentielles à l’efficacité de cette stratégie. Installées dans des pays tiers — parfois même aux États-Unis — ces plateformes sont dirigées par des facilitateurs : des individus chargés de réceptionner les ordinateurs envoyés par les entreprises, de configurer les machines, de créer les accès aux services internes et d’assurer la coordination entre les travailleurs fictifs et leurs employeurs.
En 2024, un de ces facilitateurs a été identifié sur le sol américain. Il pilotait un centre dans lequel il aidait une équipe de faux travailleurs nord-coréens à maintenir leur couverture professionnelle, tout en leur garantissant un accès sécurisé aux infrastructures de leurs entreprises clientes. Et ce cas n’est pas isolé. En 2025, les autorités ont démantelé un réseau basé en Caroline du Nord, à l’origine de l’infiltration de dizaines de « collaborateurs » dans des entreprises américaines. Derrière chaque faux profil, il ne s’agissait pas d’un individu isolé, mais d’un maillon dans une organisation structurée, avec des tâches réparties, des comptes simulés, et une discipline inspirée des services secrets.
Grâce à l’IA, un faux développeur nord-coréen peut désormais passer un entretien en visioconférence avec un deepfake vocal et visuel, sans éveiller les soupçons.
Le rôle central de l’IA dans ces opérations dépasse la simple rédaction de documents. Les plateformes de génération de CV, dotées d’algorithmes d’apprentissage profond, permettent d’ajuster chaque document aux exigences des offres ciblées. Les candidats fictifs utilisent aussi des outils de suivi de candidature pour identifier les opportunités les plus accessibles, contourner les filtres automatiques et maximiser leurs chances de réussite. Plus inquiétant encore : certains facilitateurs publient eux-mêmes de fausses offres d’emploi, dans le seul but de comprendre les critères de sélection des recruteurs et de perfectionner leurs faux profils.
Les entretiens, étape souvent perçue comme décisive dans un processus de recrutement, ne constituent plus un frein pour ces acteurs malveillants. Grâce aux progrès du deepfake, un candidat peut aujourd’hui apparaître en visioconférence avec un visage généré par IA, synchronisé en temps réel avec une voix artificielle. Le tout est géré depuis les fermes de laptops, où plusieurs opérateurs se répartissent les tâches techniques et sociales, allant même jusqu’à interagir avec des collègues sur Slack ou GitHub pendant les heures de bureau.
En s’appuyant sur des plateformes RH factices, les espions nord-coréens retournent les algorithmes de recrutement contre les entreprises elles-mêmes.
Les conséquences sont multiples et préoccupantes. D’un point de vue économique, ces travailleurs infiltrés génèrent des devises étrangères — parfois plusieurs milliers de dollars par mois — qui échappent aux sanctions. À titre d’exemple, un développeur freelance employé sur des projets blockchain peut facturer entre 80 et 120 dollars de l’heure, soit environ 75 à 112 euros de l’heure. En travaillant simultanément sur plusieurs projets à distance, un seul individu peut engranger plus de 20 000 dollars (environ 18 700 euros) par mois. En réalité, ce n’est pas un individu, mais une équipe entière qui se partage les tâches et les revenus.
Sur le plan sécuritaire, ces intrusions fragilisent les systèmes d’information des entreprises. Même sans accès direct à des données sensibles, un faux collaborateur peut introduire des portes dérobées, siphonner des bases de données, ou compromettre l’intégrité des logiciels développés. Pour les entreprises visées, il devient alors presque impossible de retracer les actions malveillantes tant les identités ont été soigneusement élaborées.
Un défi pour les ressources humaines et la cybersécurité
Face à cette sophistication, les responsables RH et les équipes de cybersécurité se retrouvent démunis. Les procédures de vérification traditionnelles — entretiens, contrôles de références, tests techniques — ne suffisent plus. Certains experts recommandent désormais d’intégrer des audits réguliers des postes en télétravail, de renforcer la vérification biométrique ou de développer des systèmes d’authentification comportementale. Mais chaque avancée dans la détection semble aussitôt contournée par de nouveaux outils d’IA, toujours plus efficaces et difficilement traçables.
Paradoxalement, ce sont parfois les outils de sécurité eux-mêmes qui sont exploités à l’envers. En testant leurs faux profils contre des algorithmes de filtrage automatique, les agents nord-coréens affinent leur stratégie jusqu’à obtenir un taux de réussite optimal. Chaque échec devient une donnée d’apprentissage. Ce jeu du chat et de la souris algorithmique transforme les plateformes RH en véritables laboratoires de la désinformation.
Les États-Unis ne sont pas les seuls touchés. L’Europe, l’Asie du Sud-Est et le Moyen-Orient sont également ciblés. Des cas similaires ont été signalés en Allemagne, au Japon, et aux Émirats arabes unis, avec des modus operandi identiques. L’usage de VPN sophistiqués, l’obfuscation d’empreintes numériques et la segmentation géographique des connexions rendent l’attribution des faits extrêmement difficile. Les infrastructures de cloud sont utilisées pour dissimuler les mouvements de données et compartimenter les responsabilités.
Vers une militarisation numérique du télétravail
L’émergence des « Wagemoles », ces travailleurs clandestins manipulés par l’État nord-coréen, interroge la manière dont le monde du travail s’est transformé. Le télétravail, jadis perçu comme une libération des contraintes géographiques, devient une faille systémique. La promesse d’un recrutement mondial et diversifié se heurte à la réalité géopolitique : des régimes autoritaires exploitent les règles du jeu à leur avantage, tout en restant invisibles.
Le terme « Wagemole », contraction de wage (salaire) et mole (taupe), évoque à la fois l’avidité financière et l’infiltration silencieuse. Il cristallise les dérives d’un monde numérique sans frontières, où la confiance repose sur des pixels et des métadonnées. Dans ce théâtre d’ombres, l’intelligence artificielle n’est plus seulement un outil, mais un personnage à part entière — parfois allié, parfois ennemi.
Si l’on ignore encore combien d’entreprises ont été infiltrées avec succès, les premières estimations font état de centaines d’opérations en cours, réparties sur tous les continents. Certaines sociétés, souvent des startups en pleine croissance, n’ont tout simplement pas les moyens de détecter de telles menaces. D’autres choisissent de garder le silence pour éviter les conséquences en termes d’image ou de responsabilité légale.
Dans un monde de plus en plus interconnecté, comment s’assurer que derrière l’écran se cache bien la personne que l’on croit embaucher ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.
